Azure AD令牌發行端點不返回“范圍”參數

Question

我正在使用本文所述的服務應用程序查詢Microsoft Graph： http : //graph.microsoft.io/en-us/docs/authorization/app_only

我可以成功地向特定於租戶的URL發出POST請求，並獲得指定的JSON響應：

{ 
  "token_type": "Bearer",
  "expires_in": "3599",
  "scope": "User.Read",
  "expires_on": "1449685363",
  "not_before": "1449681463",
  "resource": "https://graph.microsoft.com",
  "access_token": "<token>"
}

但缺少“范圍”參數。 我在AD配置面板中選中了所有“ Office 365 Exchange Online”“應用程序權限”。 當針對Graph API使用返回的令牌時，我能夠成功調用https://graph.microsoft.com/v1.0/users/但沒有其他端點。

Answer 1

我只是遇到了這個問題，想詳細說明標記為正確的答案，因為它是正確的答案，但解決方案不完整。 如果沒有范圍參數，則表示您的應用已注冊，但是管理員尚未同意該應用訪問您的AD實例。 一旦注冊了應用程序，就必須構建並轉到以下URL來授權該應用程序（當然是使用管理員帳戶）：

GET https://login.microsoftonline.com/{TenantID}/adminconsent?
client_id=<APP ID>
&state=<This is optional for your app to use>
&redirect_uri=<ReturnURL>

TenantID：來自Azure門戶-如果單擊右上角的“幫助”圖標，然后選擇“顯示診斷”，則可以在診斷JSON中找到租戶ID。

AppID：來自Azure門戶-注冊應用時，您將轉到管理控制台並剪切/粘貼

本文為嘗試進行圖形集成的人們提供了大量有用的信息。

Answer 2

您需要從Microsoft Graph服務中可用的列表中選擇應用程序范圍，然后征得管理員同意